智能接入网关SAG是阿里云提供的SD-WAN解决方案,其中SAG APP适用于终端接入上云。配置SAG APP后,电脑、手机等终端可以通过SAG APP从本地远程访问云上VPC中部署的服务。本文介绍如何通过SAG APP将本地客户端接入到无影云桌面的安全办公网络中,实现客户端能够通过私网访问云桌面。

背景信息

通过客户端连接云桌面时,您可以选择以公网或者企业专网(即VPC)进行连接。云桌面支持哪种网络接入方式由云桌面所属工作区的属性决定,相关说明如下:
  • 工作区连接方式为公网连接时,则只允许客户端通过公网连接云桌面。
  • 工作区连接方式为VPC连接时,则只允许客户端通过企业专网连接云桌面。
  • 工作区连接方式为公网和VPC都允许时,则不限制方式,使用客户端连接云桌面时可以自行选择网络接入方式。
VPC连接依赖于阿里云私网连接(PrivateLink)服务,该服务能够实现专有网络VPC与阿里云上的服务建立安全稳定的私有连接,简化网络架构,实现私网访问服务,避免通过公网访问服务带来的潜在安全风险。
说明 私网连接服务不收取费用。选择VPC连接或者公网和VPC都允许时,系统将自动为您开通私网连接服务。

采用VPC连接方式时,需要先打通客户端所属网络(本地)和云桌面安全办公网络(云上)。目前阿里云提供高速通道、智能接入网关和VPN网关等方式可以打通本地和云上网络。其中智能接入网关SAG是阿里云提供的SD-WAN解决方案,从产品形态上分为SAG硬件、SAG APP和SAG vCPE。本文主要介绍如何通过SAG APP实现客户端私网访问云桌面。

说明 云桌面支持PC软终端、Web浏览器、硬件终端和移动终端等多种类型的客户端。SAG APP方案需要安装SAG APP客户端,适用于PC端(Windows、macOS)和移动端(Android、iOS)。

网络架构

通过SAG APP打通本地和云上网络,实现本地客户端通过私网访问云桌面的组网架构如下图所示。SAG APP
相关说明如下:
  • 专有网络VPC是逻辑上彻底隔离的云上私有网络。无影云桌面从网络角度可以划分为管控VPC、桌面服务VPC和工作区VPC,三者均由阿里云维护。其中管控VPC和桌面服务VPC负责部署管控组件和桌面资源等,工作区VPC是您创建工作区时,系统根据您设置的网段创建的VPC。
  • 云连接网CCN是由阿里云分布式接入网关组成的设备接入矩阵,将SAG APP与CCN绑定后,SAG即可通过CCN实现将本地网络连接至阿里云网络。
  • 云企业网CEN可以在不同的网络实例(VPC、CCN等)之间搭建私网通信通道。管控CEN由阿里云维护,您无需关注。用户CEN是您需要自建的CEN,用于实现CCN和工作区VPC之间的网络互通。
  • 每台云桌面包含两个网卡:eth0和eth1。其中,eth0是内部网卡,负责管控流量、客户端与云桌面建立连接流量等,IP由无影云桌面服务统一分配;eth1是您日常使用的网卡,负责访问VPC内的资源或者访问公网,IP由系统在工作区VPC网段内自动分配。
  • VPC连接依赖于PrivateLink服务,该服务能够在工作区VPC(终端节点)与桌面服务VPC(终端服务节点)之间建立安全稳定的私网连接。

准备工作

工作区按照账号系统类型可以分为便捷工作区和AD工作区,对应的准备工作如下:
  • 便捷工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建便捷工作区,并将便捷工作区VPC加入到CEN中。具体操作,请参见创建便捷工作区

      如果您之前已有便捷工作区,可以在无影云桌面控制台的安全办公网络页面,将工作区对应的VPC加入到CEN中。

  • AD工作区
    1. 创建CEN实例。具体操作,请参见创建云企业网实例
    2. 创建AD工作区,并将AD工作区VPC加入到CEN中。具体操作,请参见创建AD工作区
      说明 如果AD部署在云服务器ECS上,您需要将AD服务器所属VPC加入到CEN中;如果AD部署在本地服务器上,需要先打通本地和云上网络,才能对接AD成功。您可以先创建一个AD工作区,在打通网络后再完成AD域的配置。

步骤一:配置SAG APP

配置SAG APP包括创建SAG APP实例、绑定云连接网CCN和将CCN加入到CEN中。操作步骤如下:

  1. 登录智能接入网关控制台
  2. 在左侧导航栏,选择智能接入网关APP > APP实例管理
  3. 创建SAG APP实例。
    1. APP实例管理页面,单击创建智能接入网关APP
    2. 在购买页面,完成SAG APP配置。
      相关配置说明如下表所示。更多信息,请参见购买SAG APP
      参数 描述 示例
      地域 要使用SAG APP客户端的地域 中国内地
      客户端账号数量 SAG APP客户端账号的数量,一般需要为每个云桌面终端用户创建一个账号。
      说明 目前仅支持创建5~1000个客户端账号,不同账号数量按阶梯计费,更多信息,请参见SAG APP计费说明
      10
    3. 单击立即购买,然后按照页面提示完成后续支付操作。
  4. 绑定云连接网CCN。
    1. APP实例管理页面,找到上一步创建的SAG APP实例,单击网络配置
    2. 网络配置对话框中,完成网络配置。
      相关配置说明如下表所示。更多信息,请参见网络配置
      参数 描述 示例
      云连接网 绑定云连接网CCN。将SAG APP和CCN绑定后,SAG APP客户端可以通过CCN从本地网络连接至阿里云网络。您可以根据需要选择现有CCN或者新建CCN。 新建云连接网
      私网网段 SAG APP客户端接入阿里云时使用的私网网段。客户端接入时,系统将自动从该网段中为其分配可用的IP地址,请确保该网段与用户CEN中的其它网段不冲突。 192.168.123/24
    3. 单击确定
  5. 将CCN加入到CEN中。
    1. 在左侧导航栏,单击云连接网
    2. 云连接网页面,找到上一步创建的CCN,单击对应操作列中的绑定云企业网
    3. 在弹出面板中,选择工作区VPC加入的CEN。
    4. 单击确定

步骤二:为CEN配置云服务

您需要为CEN配置云服务,以便CCN可以访问云桌面服务。具体操作步骤如下:

  1. 登录云企业网控制台
  2. 云企业网实例页面,找到目标CEN实例,单击实例ID。
  3. 单击云服务页签,然后单击设置云服务
  4. 完成云服务配置。
    相关配置说明如下表所示。更多信息,请参见访问云服务
    参数 描述 示例
    云服务IP地址 云桌面服务涉及的IP地址段,包含云桌面所有地域的VPC访问桌面所需的OpenAPI Endpoint,固定为100.96.0.0/11。 100.96.0.0/11
    服务所在地 选择工作区VPC所属的地域。 华东2(上海)
    服务VPC 选择工作区VPC。 -/vpc-uf6fhc4c97or7pdvs****
    访问所在地 选择SAG APP绑定的CCN。 中国内地云连接网
  5. 单击确定

步骤三:创建SAG APP客户端账号

您需要创建多个SAG APP的客户端账号分发给云桌面的终端用户,以便终端用户可以使用该账号登录SAG APP,进而连接私网。操作步骤如下:

  1. 在智能接入网关控制台的APP实例管理页面,找到步骤一创建的SAG APP实例,单击实例ID。
  2. 单击客户端账号管理页签,然后单击创建客户端账号
  3. 创建客户端账号对话框中,完成账号配置。
    请输入终端用户对应的邮箱地址,配置完成后,系统将自动发送包含智能接入网关实例ID、账号用户名和密码、客户端下载方式等信息的邮件到设置的邮箱。更多信息,请参见创建客户端账号
  4. 单击确定

步骤四:配置本地客户端连接私网

在本地PC或者移动端,您需要安装并登录SAG APP客户端,在配置DNS后即可一键连接私网。操作步骤如下:

  1. 在本地PC或者移动端上下载并安装SAG APP客户端。
    SAG APP客户端支持Windows、Android、macOS和iOS四种操作系统。关于客户端适配详情和下载方式,请参见安装客户端
  2. 在本地PC或者移动端上打开并登录SAG APP客户端,然后发起连接。
    操作前,请先登录邮箱获取登录SAG APP客户端所需的信息。如果没有收到相关邮件,请检查步骤三配置的邮箱是否正确。
    以Windows客户端为例,操作步骤如下:
    1. 打开客户端。
    2. 输入智能接入网关实例ID、用户名和密码,阅读并同意隐私协议,然后单击登录
    3. 单击连接内网
  3. 在本地PC或者移动端上配置DNS。
    1. 将100.100.2.136或100.100.2.138加入到DNS列表中。
      以Win10的PC为例,配置DNS的步骤如下:
      说明 以下以PC为例介绍如何配置DNS,移动端请自行修改网络DNS配置。
      1. 在控制面板打开网络和共享中心。
      2. 在左侧导航栏单击更改适配器设置
      3. 右键单击SAG APP对应的网络适配器,选择属性
      4. 在弹出的对话框的此连接使用下列项目区域,双击Internet协议版本(TCP/IPv4)
      5. 在弹出对话框中指定DNS服务器。

        您可以将首选DNS服务器配置为100.100.2.136,将备选DNS服务器配置为100.100.2.138。

    2. 执行以下命令验证DNS是否正常工作。
      nslookup ecd-vpc.cn-beijing.aliyuncs.com

步骤五:测试无影云电脑客户端能否通过私网访问云桌面

测试前,请先根据工作区类型,创建对应的终端用户,并为用户创建和分配云桌面。

SAG APP适用于PC端(Windows、macOS)和移动端(Android、iOS),以Windows的无影云电脑客户端为例,操作步骤如下:

  1. 安装并打开无影云电脑客户端。
  2. 登录配置页面,输入工作区ID,选中通过企业专网接入,然后单击下一步
    如果出现网络请求超时的相关报错,则表示网络不通,请检查配置是否有误。
  3. 输入用户名和密码,单击下一步
  4. 在桌面卡片中,选择状态为运行中的云桌面,单击连接
    如果可以成功登录客户端并连接云桌面,则表示配置成功。